Федеральный закон №152 «О персональных данных» появился еще в 2006 году и за это время претерпел много изменений. Впрочем, он по-прежнему обязывает компании заботиться о сохранности личной информации своих клиентов и сотрудников. Эта обязанность формирует требования к информационным системам, в которых хранятся и обрабатываются персональные данные.
Что такое ИСПДн
Сперва разберемся, что такое информационные системы персональных данных (ПДн), или ИСПДн. В том же 152-ФЗ сказано, что это «совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств». То есть ИСПДн — это любые системы компаний, в которых хранится и обрабатывается чья-либо персональная информация: собственных сотрудников или клиентов.
Такие информационные системы требуют особого подхода с точки зрения безопасности. Чтобы определить уровень защищенности ИСПДн, нужно разобраться в том, кто такой оператор и субъект, какие категории ПДн в ней обрабатываются, чьи это данные и какой тип угроз для них актуален.
Что такое оператор и субъект персональных данных
Оператор ПДн
Оператор — это любая компания, которая собирает, хранит и обрабатывает персональные данные физических лиц. Этими лицами могут быть как собственные сотрудники, так и клиенты или контрагенты. Оператор несет ответственность за сохранность всех персональных данных, к которым получает доступ. Кроме того, он должен выполнять требования Федерального закона №152.
Субъект ПДн
Физические лица, персональные данных которых обрабатываются оператором, называются субъектами персональных данных. Например, вы заказали товары в интернет-магазине и предоставили ФИО, адрес и телефон. Интернет-магазин в этом случае будет оператором, а вы — субъектом.
Определение уровня защищенности
Каждая ИСПДн имеет определенный уровень защищенности. В соответствии с ним оператор выбирает защиту для системы и инфраструктуру провайдера, если хранит, например, свой сайт в стороннем дата-центре.
Следовательно, уровень защищенности инфраструктуры провайдера должен быть не ниже уровня защищенности размещаемой ИСПДн. Как определить его, указано в постановлении Правительства №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (ПП №1119). Ниже мы разберем, как определить уровень защищенности ИСПДн.
Категории ПДн
Персональные данные в зависимости от состава делятся на категории: биометрические, специальные, общедоступные и иные. Рассмотрим каждую из них подробнее.
Биометрические ПДн
Сюда относятся данные о физиологических или биологических особенностях человека, по которым можно определить его личность. Это может быть отпечаток пальца, сетчатка глаза и в некоторых случаях фотография.
Специальные ПДн
Включают информацию о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состояния здоровья и интимной жизни. Это самая серьезная категория ПДн. Обработка таких персональных данных возможна только с письменного согласия человека.
Общедоступные ПДн
Это информация о субъекте ПДн из открытых источников, таких как справочники и адресные книги. Подробнее об общедоступных ПДн мы писали в отдельной статье.
Иные ПДн
Самая популярная категория персональных данных — иные. Это данные, которые собирают большинство компаний для трудоустройства или предоставления услуг: ФИО, адрес, телефон, email, дата рождения и т. д.
Обработка оператором данных своего сотрудника или иного лица
Чтобы верно определить уровень защищенности, важно также знать, чьи персональные данные обрабатываются в информационной системе. Это могут быть как персональные данные собственных сотрудников, так и данные клиентов, контрагентов, партнеров и т. д. Например, информационная система для учета зарплаты будет содержать только данные сотрудников, а система для обработки запросов от клиентов интернет-магазина — только данные клиентов, то есть иных лиц.
Типы актуальных угроз при работе с ИСПДн
При определении уровня защищенности персональных данных, согласно ПП №1119, необходимо учитывать тип актуальных угроз. В документе используются угрозы трех типов.
К первому типу относят угрозы, при которых в используемом системном ПО могут быть недекларируемые возможности, или так называемые закладки. Например, с помощью закладок в операционной системе злоумышленник может в любой момент получить к ней доступ.
К числу угроз второго типа относятся закладки в прикладном программном обеспечении, например 1С или веб-приложении. Обычно они появляются в ситуациях, когда ПО разрабатывалось специально для заказчика.
К угрозам третьего типа принято относить все остальные угрозы, не связанные с системными или программными закладками. Например, взлом пароля. Подробнее про угрозы описано в нашей статье Виды угроз информационной безопасности
Конкретный тип угроз безопасности, который актуален для информационной системы, определяется оператором с учетом оценки того вреда, который они могут причинить.
Уровни защищенности ИСПДн
Уровень защищенности складывается из всех критериев, описанных выше, согласно ПП №1119.
Мы в Selectel разработали удобный калькулятор для определения уровня защищенности — в нем рассмотрены угрозы третьего типа. На практике это наиболее популярный вариант, когда оператор персональных данных принимает актуальными только угрозы, не связанные с наличием недекларированных возможностей в системном и прикладном программном обеспечении.
Если для вашей информационной системы актуальны угрозы первого или второго типа, в Selectel есть решение — Аттестованный сегмент ЦОД, где клиент получает полный контроль безопасности.
Требования к защите персональных данных
Требования к защите информации и меры по обеспечению безопасности персональных данных также описаны в ПП №1119 и приказе ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Приказ ФСТЭК — это подзаконный документ к 152-ФЗ «О персональных данных», который описывает различные меры по обеспечению информационной безопасности в зависимости от уровня защищенности. В документе представлена таблица с разными мерами, например «Идентификация и аутентификация пользователей, являющихся работниками оператора» и необходимость выполнения данной меры для разных уровней защищенности. Другими словами, этот приказ прямо указывает, какие меры являются обязательными для той или иной ИСПДн в зависимости от уровня ее защищенности, а какие — нет.
Аттестация ИСПДн по нормативным документам
Каждый оператор персональных данных должен периодически оценивать, насколько эффективно он защищает свои ИСПДн. Эта оценка может проводиться по-разному, например в форме приемочных испытаний информационной системы. Однако для некоторых систем оценка эффективности должна обязательно выполняться в форме аттестации. В соответствии с приказом ФСТЭК №17 обязательной аттестации подлежат государственные информационные системы (ГИС). Также требование аттестации может возникать при подключении ИСПДн частных компаний к государственным информационным системам.
Аттестацию ИСПДн могут проводить только компании, у которых есть соответствующая лицензия ФСТЭК. Также аттестация накладывает разные ограничения. Например допустимо использование только сертифицированных средств защиты. Также потребуется пройти переаттестацию, если в системе что-то меняется.
Если компания, для которой аттестация не является обязательной, все же провела ее, в будущем она может вернуться к обычной оценке эффективности. Такая возможность прописана в п.3 информационного сообщения ФСТЭК России от 15 июля 2013 г. № 240/22/2637.
С чем может помочь Selectel
В Selectel все услуги соответствуют закону «О персональных данных». Если у вашей информационной системы третий или четвертый уровень защищенности, вы можете разместить ее на базе любого сервиса выделенных серверов или облачной платформы, включая PaaS. Если вы определили, что ваша система первого и второго уровня защищенности, вам подойдет любое облако и выделенные серверы в аттестованном сегменте ЦОД.
Для систем, которым нужна аттестация, в Selectel есть специальная инфраструктура — аттестованное облако и выделенные серверы в аттестованном сегменте ЦОД.
Аттестованный сегмент ЦОД подойдет также для компаний, которые хотят сохранить полный контроль безопасности своих систем, так как серверы клиента там устанавливаются за межсетевой экран, которым управляет сам клиент. Таким образом, инфраструктура в аттестованном сегменте ЦОД изолируется от других клиентов и сетей Selectel. А мы отвечаем только за физическую безопасность. Все меры по ее соблюдению в аттестованном сегменте ЦОД регулярно проверяются и подтверждается внешними аудиторами.
В зоне ответственности клиента мы предоставляем дополнительные средства и сервисы безопасности по подписке. К ним относятся межсетевые экраны, модули доверенной загрузки, средства от несанкционированного доступа, антивирусы и другое.
Соответствие 152-ФЗ и защита персональных данных не ограничиваются правильным выбором инфраструктуры и техническими мерами. Закон требует собирать данные и работать с ними по определенным правилам, а также готовить подтверждающие документы. Один из таких — поручение на обработку персональных данных. Его нужно подписать, чтобы выполнить требования п. 3 ст. 6 152-ФЗ. Чтобы сформировать поручение, создайте тикет.
